Üdvözletem,
van egy több domaint kiszolgáló Postfixes levelezőszerver, ahol a kliensek levelezőszerverrel azonos gépen levő webmailről illetve egy megbízható belső hálózatból - autentikáció nélkül - küldenek levelet.
Az egyik domainnél igény jelentkezett arra, hogy a - nem épp biztonságos - Internet irányából is tudjon a kliens SMTP-n keresztül levelet küldeni.
Kérdésem az lenne, hogyan lehetne csak az adott domain esetében engedélyezni az autentikációt?
Mert ha csak ennyit teszek:
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
akkor az az összes domainre érvényesítődik.
Megtisztelő válaszaitokat előre is köszönöm.
- 2038 megtekintés
Hozzászólások
Ha a mynetworks -nél fel vannak sorolva a megbízható belső hálózatok, akkor:
smtpd_recipient_restrictions =
...
permit_mynetworks,
permit_sasl_authenticated,
...
Mivel az interneten lévő kliens IP-je nincs a mynetworks hálózatok között, így tovább fog lépni, s ellenőrzi a postfix az autentikációt.
Véleményem szerint a sasl_auth-ot egyébként érdemes lenne bevezetni a "megbízható gépekre" is, valamint a webmailt célszerű lenne beállítani, hogy autentikálva adja át a leveleket a postfixnek.
- A hozzászóláshoz be kell jelentkezni
+1, a sorrendet fordítsd meg és jó lesz, illetve megbízható gép nincs!:)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Ha jol remlik a postfix kiugrik az elso talalatnal, igy amit irsz nem jo, mert barki tudni fog sasl-en keresztul a vilagbol levelet kuldeni. O csak bizonyos felhasznaloknak akar erre lehetoseget nyujtani.
- A hozzászóláshoz be kell jelentkezni
Igen, a lényeg az lenne, hogy az Internet irányából szeretnék klienseknek SMTP-levélküldést engedélyezni, de csak egy adott domain számára.
- A hozzászóláshoz be kell jelentkezni
ha ugyes vagy, az smtpd_sender_login_maps -ot erre is fel lehet hasznalni :)
- A hozzászóláshoz be kell jelentkezni
Végül ez lett a megoldás egyik fő sarokpontja - ezúton is köszönöm a tippet.
Egyrészt az SASL-t az 587-es portra raktam (lásd submission a master.cf-ben), így elkülöníthető a többi felhasználótól; másrészt a smtpd_sender_login_maps segítségével:
smtpd_sender_login_maps=pcre:/etc/postfix/login_maps.pcre
smtpd_sender_restrictions=reject_sender_login_mismatch,permit
csak az adott domainre korlátoztam a bejelentkezni kívánok körét:
/^(.*)@enyimdomain\.hu$/ ${1}@enyimdomain.hu
- A hozzászóláshoz be kell jelentkezni
ezekszerint nem jól rémlik, nézz utána :)
A fenti sorrend esetén ha nincs az IP a mynetworks-ben, akkor ellenőrzi a sasl auth-ot. Ott el tudod döntetni, hogy adott usernél engedélyezve van-e a sasl auth, egyezik-e a jelszóhash, stb...
- A hozzászóláshoz be kell jelentkezni
Olvass: elso talalatnal. Es a kerdese az volt, hogy a ott hogy tud szurni.
- A hozzászóláshoz be kell jelentkezni
Igazad van, első találatot írtál, ezt benéztem, bocsi.
Ettől függetlenül azt hiszem, már megválaszoltam a kérdést. :)
- A hozzászóláshoz be kell jelentkezni
Ez nem a te napod:))
Azt idaig is tudta, hogy ott kell, csak a hogyanjat nem.
Iszol te rendesen?:)
- A hozzászóláshoz be kell jelentkezni
Nem veletlenul erre lennel kivancsi?
http://www.postfix.org/RESTRICTION_CLASS_README.html
Szerk.: egyebkent nem csak postfix, hanem sasl oldalon is meg lehet ezt fogni. En peldaul dovecot sasl-t hasznalok es a keresesi felteteleket eleg jol definialni lehet.
- A hozzászóláshoz be kell jelentkezni